Après enquête, le plus grand fabricant de cartes SIM au monde déclare aujourd’hui qu’il est probable qu’il ait été victime d’une cyberintrusion perpétrée par la NSA et le GCHQ. À son avis toutefois, cette opération n’a pas pu entraîner un vol massif de clés de chiffrement.
Gemalto confirme aujourd’hui avoir détecté deux attaques particulièrement sophistiquées entre 2010 et 2011 qui pourraient être attribuées à la NSA et le GCHQ.
Selon Gemalto, les intrusions n’ont affecté que des parties externes de ses réseaux, où les clés de chiffrement et les données de ses clients ne sont pas stockées.
En juin 2010, des pirates ont ainsi tenté d’espionner «le réseau de communication des employés entre eux et avec le monde extérieur». Suite à cette découverte, l’entreprise a aussitôt pris des mesures pour éradiquer la menace.
En juillet 2010, des pirates ont tenté à nouveau de s’infiltrer dans les secrets de l’entreprise, cette fois par le biais de techniques d’hameçonnage (envoi de faux courriels) ciblant un opérateur mobile client de Gemalto. Les courriels en question comprenaient une pièce jointe dans laquelle était dissimulé un maliciel. L’entreprise a immédiatement informé son client et signalé l’incident aux autorités compétentes.
Au cours de la même période, l’équipe de sécurité de Gemalto a également détecté plusieurs tentatives d’accès aux ordinateurs de ses collaborateurs. Si elle n’a pas été en mesure d’identifier les auteurs de ses attaques à l’époque, l’entreprise croit aujourd’hui que celles-ci pourraient être liées à l’opération de la NSA et du GCHQ décrite par The Intercept la semaine dernière.
«Ces intrusions n’ont affecté que des parties externes des réseaux de Gemalto, c’est-à-dire les réseaux bureautiques qui sont en contact avec le monde extérieur», souligne l’entreprise. «Les clés de cryptage et plus généralement les données client ne sont pas stockées sur ces réseaux.»
Essentiellement, puisque l’entreprise avait déjà mis en place ce qu’elle décrit comme «des processus d’échanges hautement sécurisés» lors de la transmission de cartes SIM à ses clients «bien avant 2010», Gemalto considère qu’il n’est pas nécessaire d’effectuer le rappel massif de ses cartes SIM – contrairement à ce qu’a préconisé hier Edward Snowden lors d’une séance Ask Me Anything sur Reddit. Sans compter que les clés de chiffrement qui auraient pu être ainsi dérobées ne sont réellement exploitables que sur les réseaux 2G, une technologie aujourd’hui désuète.
Dans son communiqué, Gemalto précise que les documents confidentiels concernant l’opération conjointe de la NSA et du GCHQ «indiquent que les fournisseurs de cartes SIM ne représentent que 2% des sources de clés d’encryptage».
Bref rappel du fil des événements
Jeudi dernier, le magazine The Intercept a publié un article alléguant que des agents des services renseignement américains et britanniques se seraient introduit dans la réseau informatique de Gemalto afin de subtilisé les clés utilisées pour chiffrer un nombre important de communications cellulaires à travers le monde.
Visiblement troublée par la nouvelle, Gemalto a aussitôt déclenché une enquête interne afin de faire la lumière sur ces allégations. En début de semaine, la société a déclaré que les conclusions initiales de son enquête indiquaient que la sécurité de ses cartes SIM n’a pas été compromise dans le cadre de ces activités de piratage.